Ethereal的CAP文件格式说明.doc

《Ethereal的CAP文件格式说明.doc》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

1、个人收集整理勿做商业用途Ethereal的CAP文件格式说明CAP文件格式1、文件头00000000h:584350003030322E30303200985E2945;XCP。002。00200000010h：F04902002D373D02800000002D373D02；00000020h:00000000000000002D373D0200000000；00000030h：00000000000000000000000000000000；00000040h：000000000000000014000400999E3600；00000050h:000000000

2、00000000000000000000000；00000060h:00000000000000000000000000000000;00000070h:00000000000000000000000000000000；文件类型标识00—023字节,为XCP版本号：04-0A7字节开始抓包时间0C—0F4字节time_t类型的值与包数有关的值10—134字节代表意义不详与包总长度有关的值该值重复存储三次代表意义不详说明：文件头长128字节,数据域从128字节后开始。2、数据段00000080h：182F0000000000003C003C000000000000000

3、090h：00000000000000000000000000000000000000a0h:0000000000000000FFFFFFFFFFFF0040000000b0h:9E006AFE080600010800060400010040000000c0h:9E006AFE0A02100F0000000000000A02000000d0h:10100000000000000000000000000000000000e0h:00000000微秒数4字节从文件头的开始抓包时间开始的微秒数1微秒=1/1，000,000秒数据域的长度2字节连续重复两次目的网卡物理地址6字

4、节源网卡物理地址6字节个人收集整理勿做商业用途INTERNET协议标识2字节0806为ARP协议，0800为IP协议数据域说明：·每个数据段分头和数据域部分，头长度固定为40字节·数据域的长度表示的是从网卡目的物理地址开始到一个数据段的字节数